Беспрецедентная утечка паролей серьезно пошатнула безопасность всего интернета. Немалая часть из 150 миллионов скомпрометированных пользователей Adobe использовала такие же учетные данные и на других ресурсах. И если Facebook иницировал смену идентичных паролей, то администраторы корпоративных и государственных веб-приложений среагируют, скорее всего, с отставанием.
Угроза массовых кибератак, связанная с пользователями Adobe, усугубляется тем фактом, что большинство используемых паролей могут быть легко подобраны без всяких утечек. Вообще слабая парольная политика является главной причиной взлома корпоративных информационных систем: об этом свидетельствует практическое исследование компании Positive Technologies, данные которого готовятся сейчас к публикации.
Согласно результатам работ по тестированию на проникновение, проведенных специалистами Positive Technologies в 2011 и 2012 годах для крупнейших государственных и коммерческих организаций (в том числе, входящих в рейтинг 400 крупнейших компаний по версии агентства «Эксперт»), — словарные пароли возглавили тройку уязвимостей, чаще всего встречающихся на сетевом периметре исследованных ресурсов.
На публичных ресурсах, доступных из интернета, слабые пароли встречались в 79% систем. При этом почти в половине случаев, когда есть опасность проникновения из интернета во внутреннюю сеть, это возможно именно из-за слабых паролей пользователей.
Стоит отметить, что слабые пароли часто используются не только простыми пользователями, но и привилегированными; самые популярные словарные пароли, используемые администраторами, — admin и P@ssw0rd. У рядовых пользователей лидируют пароли, совпадающие с именем пользователя, и пароли, состоящие только из цифр. Среди таких паролей самый распространенный — 123456: в одной крупной организации его использовали более тысячи пользователей. А если требования к минимальной длине пароля чуть более жесткие, пальму первенства захватывает пароль 12345678.
Словарные пароли используются как на уровне веб-приложений, так и для доступа к различному сетевому оборудованию и серверам.
Полная версия отчета «Статистика уязвимостей корпоративных информационных систем (2011—2012 гг.)» будет опубликована в конце ноября 2013 года.